Poco después de comunicar la lista mensual de actualizaciones de seguridad, Microsoft emitió un comunicado advirtiendo de una vulnerabilidad crítica, sin parche, que afecta al protocolo de red SMBv3 (Server Message Block), tanto en modo cliente como servidor.

Según parece, Microsoft tenía planeado incluir el parche en su paquete de actualizaciones mensual, habitualmente el segundo martes de cada mes, pero finalmente no fue así. Esto no evitó que detalles sobre esta vulnerabilidad salieran a la luz, dejando a millones de usuarios en riesgo, aunque de momento no hay constancia de que se esté explotando activamente.

Una explotación efectiva de dicha vulnerabilidad, permitiría al atacante la ejecución remota de código en el servidor o cliente SMB. Para un ataque a un servidor, un usuario previamente autenticado podría enviar un paquete especialmente preparado. En el caso de un ataque a la parte cliente del protocolo, sería necesario convencer a un usuario, mediante phishing u otras técnicas similares, para que accediese a un servidor SMB malicioso. En ambos casos se produciría una ejecución de código en el equipo objetivo, permitiendo tomar el control del mismo.

Las plataformas afectadas son:

• Windows 10 Version 1903
• Windows 10 Version 1909
• Windows Server 1903
• Windows Server 1909

Mitigación

Mientras se espera la distribución de una solución definitiva, Microsoft recomienda en su comunicado deshabilitar la compresión en el protocolo SMBv3 en los servidores, a través del siguiente comando de PowerShell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force